対象: 旧Office 365 Office 365 for Enterprise, Office 365 for Education
新Office 365 Office 365 Enterprise, Office 365 Midsize Business
(この記事は 2013 年 6 月 3 日に Active Directory Team Blog に投稿された記事の翻訳です)
皆様、こんにちは。
過去 12 か月間、Office 365 を実環境でお使いのお客様や、Windows Azure Active Directory (AD) 開発者プレビューに参加しているお客様やパートナー様から最も多くあがってくるリクエストは、オンプレミスの Windows Server Active Directory を Windows Azure Active Directory とより簡単につなぐ方法がないかということでした。
多くの企業では、オンプレミスとクラウドで同じユーザー名とパスワードを使いたいと思っています。しかし、いままで Windows Azure AD でこれをシームレスに行うには、AD FS サーバーをオンプレミスでいくつか展開するか、サードパーティソリューションが必要でした。
AD を Azure AD に接続する方法をとても簡単にして、ユーザーが Office 365、Windows Azure、そして Windows Azure AD と統合されているその他のあらゆるクラウドアプリケーションでオンプレミスと同じユーザー名とパスワードでログインできるようにする仕組みが 5/31 にリリースされたことをお知らせできることを、私は嬉しく思います。
この新しいパスワード同期の機能は、オンプレミスのパスワードを Azure AD/Office 365 と同期する既存のサードパーティソリューションと比べて多くのメリットがあります。
- 平文パスワードは同期しません - このソリューションでは、ユーザーパスワードのハッシュを同期することにより、パスワードの漏えいリスクを大幅に抑えています。
- ドメインコントローラーに新しいソフトウェアをインストールしたり、ドメインコントローラーを再起動したりする必要はありません。
- Azure AD とパスワードを同期させるために、初回にパスワードを変更する必要はありません。
この新しいパスワード同期はディレクトリ同期ツールの機能のうちの一つです。ディレクトリ同期ツールを既に実行しているのであれば、新しいディレクトリ同期ツールのビルドをダウンロードして実行すればいいだけです。ディレクトリ同期ツールを新たにセットアップする場合、パスワード同期を有効にするには、ディレクトリ同期構成ウィザードの中で単純に [パスワード同期を有効にする] チェックボックスをオンにするだけです。追加のハードウェアや追加のインストール手順は必要ありません。
改善された更新モジュールを簡単に入手できます
また、ディレクトリ同期ツールを更新して、新しい機能を入手するのにいったんアンインストールをしてから再インストールする必要がないようにしました。これからは、最新のディレクトリ同期ツールをダウンロードして既存のサーバーの上で実行するだけで最新で素晴らしい構成にアップグレードすることができます。
いつパスワード同期を使うべきか
これはとても良い質問です。Windows Server ADFS still はパスワード同期で実現できないメリットをいくつか提供します。ビジネス要件をよく精査してどちらのソリューション (パスワード同期か ADFS) が組織のニーズに最もあうかを考える必要があります。
パスワード同期は、お客様に "Same Sign-On" と呼ばれる機能を提供します。これは ADFS が提供する "Single Sign-On" とは別のものです。パスワード同期では、Azure AD とパスワードを同期したユーザーは、オンプレミスと同じユーザー名とパスワードを使って Azure AD サービスにログインすることができます。しかし、会社のネットワークにすでにログインしていたとしても、クラウドにサインインするときにはプロンプトが表示されます。ADFS を使うと、ユーザーは真のシングルサインオン、つまり Windows PC にログインしていれば、認証を入力するようにプロンプトが表示されない状態を実現することができます。
訳者注: サードパーティソリューションの中には、ブラウザーにアドオンをインストールして、ユーザー名とパスワードのサインイン画面をフックして、フォームにユーザー名とパスワードを自動入力する仕組みを提供するものがありますが、マイクロソフトではこの仕組みをサポートしていません。サインイン画面のレイアウトや仕様は将来的に予告なく変更される可能性があり、その場合、そのソリューションではクラウドにサインインすることができなくなりますのでご注意ください。
ADFS は追加で以下のこともサポートします。
- オンプレミスに展開されている、カスタマイズされた 2 要素認証メカニズムのサポート
- ポリシーベースのアクセス制御機能
従って Windows Server ADFS を利用しなければならない決定的な理由が存在します。
しかし、パートナー様やお客様からのご意見をうかがっていると、より簡単で軽いパスワード同期のモデルが必要であるということがわかりました。私たちは、この機能を提供できることをとてもうれしく思います。使ってみての感想をぜひお聞かせください。
新しいパスワードハッシュ同期の機能についてのより詳細な情報や展開ガイダンスについては、以下のTechNet ドキュメントを参照してください。
http://technet.microsoft.com/ja-jp/library/dn246918.aspx
よろしくお願いいたします。
Alex Simons (twitter: @Alex_A_Simons)
Director of Program Management
Active Directory